Il CEO di Binance mette in guardia contro una nuova truffa che prende di mira il settore crypto

Sead Fadilpašić
| 5 min read
Fonte: AdobeStock / SomYuZu

Il CEO del maggiore exchange di criptovalute Binance Changpeng ‘CZ’ Zhao, ha avvisato gli utenti tramite Twitter di un nuovo attacco hacker che prende di mira le criptovalute e ideato da “malintenzionati che conoscono bene il mondo delle crypto”.

“Non scaricate file!”, ha scritto CZ martedì.

Ha spiegato che gli utenti potrebbero ricevere un file dal profilo di un amico il cui account è già stato hackerato. Da qui potrebbe partire un “file Excel trasformato in arma” dal nome “exchange fee comparision.xls”, che contiene un codice malevolo che punta ai fondi crypto.

CZ ha fatto riferimento a un post pubblicato martedì sul blog Microsoft Security Threat Intelligence dove si parla di “attacchi mirati contro il settore delle criptovalute”.

Nel post si legge che l’aumento della popolarità del mercato crypto negli ultimi anni non ha attirato l’attenzione solo degli investitori ma anche di diversi criminali che prendono di mira le organizzazioni all’interno del settore crypto allo scopo di ottenere profitti.

Hanno scoperto che:

“Gli attacchi che prendono di mira questo mercato hanno preso forme diverse, dalle frodi allo sfruttamento di vulnerabilità, fino alle applicazioni fasulle e all’utilizzo di automatismi che rubano i dati sensibili per permettere agli hacker di mettere le mani sui fondi crypto.”

Non fidatevi degli amici

Il report fa riferimento a un nuovo tipo di attacco informatico e chi lo porta a termine viene identificato come DEV-0139 da Microsoft; si tratta di un nominativo temporaneo con cui vengono definiti i cluster di attività minacciose fino al momento della loro identificazione e denominazione. Nel report si legge:

“Stiamo inoltre assistendo al moltiplicarsi di attacchi complessi in cui i malintenzionati mostrano una grande conoscenza e preparazione che gli permette di conquistare la fiducia del proprio obiettivo prima di distribuire i payload.”

L’utente identificato come DEV-0139 si è unito ai gruppi di chat su Telegram per prendere di mira le compagnie di investimento crypto. Hanno permesso la comunicazione tra clienti VIP e gli exchange crypto, quindi hanno individuato i bersagli tra tutti gli altri membri del gruppo.

Gli hacker si sono finti rappresentanti di una compagnia di investimento crypto e, lo scorso ottobre, hanno invitato le vittime a partecipare a una chat di gruppo privata in cui fingevano di chiedere opinioni riguardo le fee usate dagli exchange.

“Il truffatore ha dimostrato una conoscenza approfondita del funzionamento di questo specifico ramo del settore, mostrando di essere ben preparato e al corrente delle sfide che le compagnie prese di mira potrebbero affrontare.”

Ma dopo aver ottenuto la fiducia delle vittime, DEV-0139 ha inviato un file Excel “weaponized” cioè con una linea di codice alterata, denominato ‘OKX Binance & Huobi VIP fee comparision.xls’, con all’interno diverse tabelle sulle composizioni delle fee dei diversi exchange. Da notare: “i dati nel documento erano particolarmente accurati tanto da avvalorare la loro credibilità”.

L’attacco

L’Excel manomesso, una volta aperto, avviava una serie di azioni. Stando a quanto si legge nel report, attivava una macro, cioè un’azione o un insieme di azioni che possono essere eseguite tutte le volte che serve e, quando l’utente eseguiva un comando, venivano registrati i click del mouse e le sequenze di digitazione sulla tastiera.

Grazie a questo tipo di attacco, le macro malevoli operano in modo da occultare la presenza di alcuni codici e per rubare dati sensibili. A questo punto, un altro file Excel veniva salvato su C:\ProgramData\Microsoft Media\ ed eseguito in modalità invisibile. A quel punto si scaricava un PNG con al suo interno tre file eseguibili: un file di Windows innocuo, una versione malevola di un file eseguibile e una backdoor codificata.

Tutti insieme “permettevano al truffatore di accedere da remoto al sistema infettato.”

Fonte: microsoft.com

C’è dell’altro

Nel report si legge che il team ha scoperto anche un altro file dello scorso giugno che sfrutta una tecnica simile, ma invece di servirsi di un file Excel contaminato, la minaccia si trova all’intero di un pacchetto MSI (Microsoft Software Installer) per l’installazione dell’applicazione CryptoDashboardV2:

“Questo potrebbe suggerire che ci siano in atto altre campagne realizzate dallo stesso attore che sfrutta le stesse tecniche.”

Come difendersi

Nel report si afferma che DEV-0139 ha “una conoscenza vasta del settore delle criptovalute” e che compagnie piccole e grandi possono diventare degli obiettivi.

Le tecniche usate dai criminali possono essere contrastate adottando misure di sicurezza, come descritto nell’articolo. Anche se queste istruzioni sono rivolte alle aziende, anche i singoli individui possono adottarle per proteggersi:

  • modifica le impostazioni di sicurezza delle macro di Excel per controllare quali macro vengono eseguite e sotto quali circostanze ogni volta che viene aperto un foglio di lavoro;
  • attiva le regole di riduzione della superficie d’attacco (ASR) per prevenire gli attacchi più comuni descritti sopra;
  • aggiorna Microsoft Defender Antivirus e attiva la verifica in tempo reale;
  • usa gli indicatori di compromissione già installati per verificare se il tuo ambiente sia stato compromesso e per proteggerti da possibili intrusioni;
  • informa gli utenti finali su come proteggere i dati personali e societari sui social, filtra le comunicazioni non sollecitate, identifica le esche nelle mail di phishing e gli attacchi watering hole, riporta i tentativi di violazione e i casi sospetti;
  • informa gli utenti finali su come prevenire infezioni da malware, per esempio ignorando o cancellando mail non richieste o inattese, o allegati ricevuti attraverso le chat o i social;
  • richiedi agli utenti finali di seguire le regole per una buona gestione delle credenziali d’accesso e assicurati che il Microsoft Defender Firewall sia sempre attivo.

Il settore crypto, che si tratti di compagnie o di singole persone, è diventato l’obiettivo di vari tipi d’attacco informatico. Puoi trovare altre notizie al riguardo qui

____

Leggi anche:

Segui Cryptonews Italia sui canali social